駭客借“疫”打劫，一封郵件就可能瞬間攻陷企業內網

相比於廣撒網式的盲目攻擊，針對政府、企業等高價值目標進行精準打擊，成為當下網路攻擊演變的新趨勢。在此其中，“橫向滲透”這種攻擊方式因為可以在滲透目標內網之後，透過各種攻擊手段以點破面，最大限度獲取目標資產的控制權，成為被眾多網路駭客廣泛使用的“殺手鐧”。

近期，360安全大腦監測發現，因竊取銀行登入憑據而臭名昭著的Emotet木馬，現在開始透過建立遠端服務的手法進行橫向滲透，成為了分發Qakbot、TrickBot等其他惡意軟體的Loader。

對該木馬進行溯源並深入分析後，360安全大腦發現該木馬作者正在利用以“新型冠狀病毒”疫情為話題的釣魚郵件進行傳播，當木馬程式被啟動後，最新的Emotet變種透過下發Qbot進行橫向滲透。

目前，360安全大腦已針對此類木馬進行了全方位的查殺和攔截，建議廣大使用者儘快下載安裝最新beta版360安全衛士，開啟【我的電腦 — 安全防護中心】，可有效抵禦各種橫向滲透攻擊。

借疫情熱度釣魚郵件氾濫

多程式碼混淆隱藏病毒母體

360安全大腦在溯源分析後發現，該木馬攻擊者會透過推送與新冠肺炎相關的釣魚郵件,並將郵件內容包裝為當地政府關於新型管狀病毒肺炎疫情的相關通報資訊，誘導使用者開啟攜帶惡意宏病毒的木馬附件。

附件文件包含一個高度混淆的宏病毒，當使用者點選啟用宏之後，會呼叫WMI啟動PowerShell並下載銀行木馬Emotet，早期版本的Emotet木馬具有銀行盜號模組，主要針對銀行進行攻擊。最新版本的Emotet木馬則不再載入其自己的銀行木馬模組，而是載入第三方惡意軟體。

此次Emotet木馬主要下發QBot木馬去竊取資訊並進行橫向滲透，QBot使用了多種程式碼混淆技術隱藏真正的病毒母體，其解密並載入被混淆的惡意載荷相關程式碼邏輯如下：

解密後的惡意載荷是一個PE檔案，即QBot母體。QBot在竊密功能之外新增橫向滲透功能以此來感染區域網內的其他計算機。QBot載入並解密資源‘307’，解密後得到一個動態庫，該動態庫即為QBot進行橫向滲透的核心模組。

Qbot透過列舉域控伺服器上的使用者賬戶，得到一個使用者名稱列表，配合弱口令字典對當前計算機連線的遠端機器進行爆破，如果連線成功則呼叫OpenSCManagerW與遠端計算機的服務控制管理器建立連線，並透過建立遠端服務的方式橫向移動到遠端機器。

受到感染的遠端機器也會進一步去感染網段內的其他機器，擴大該病毒的傳播範圍。

Emotet木馬多年作惡加速演進

360安全衛士主防7.0打造“銅牆鐵壁”

值得一提的是，Emotet木馬是一款於2014年就被發現，且一直處於活躍狀態的惡意木馬家族。歷時多年，Emotet也已經從簡單的銀行木馬，逐漸演變成下發各種惡意軟體的木馬分銷商，並且以基礎設施即服務的模式出售Emotet殭屍網路的訪問許可權。

為擴大其殭屍網路的覆蓋面及影響力，Emotet木馬也在不斷進化其傳播方式，從最初垃圾郵件到近期的橫向滲透，Emotet木馬持續嚴重威脅到企業數字資產安全。而在未來，Emotet背後團伙絕不會止步於此，而是將會不斷研發和融合其他新的傳播手法，進一步鞏固其殭屍網路帝國的統治力。

面對升維的網路威脅挑戰，在360安全大腦的極智賦能下，360安全衛士主防7.0震撼上線，利用網路側、終端側多維分析模型，透過網路流量、終端日誌、機器學習，以及現有安全基礎設施等手段，為使用者打造集"高階攻擊發現、橫向滲透防護、無檔案攻擊防護、軟體劫持防護"於一體的全方位高階威脅防護壁壘。

另外，為全面保障政企機構內網安全，360安全大腦給出如下建議：

1、前往weishi.360.cn，下載安裝最新beta版360安全衛士，開啟【我的電腦 — 安全防護中心】，即可有效對此類木馬進行攔截查殺；

2、不要開啟來歷不明的郵件，應將此類郵件交由安全部門進行排查，確認安全後再開啟。

3、對未知安全性檔案，切勿點選“啟用宏”按鈕，以防止宏病毒入侵。